今天一个同事的电脑开机出现蓝屏死机:
FileName: VWIN32(05)+00000BF$ error OE:0028:C)ZA3E54
该电脑使用Win ME。
一、重新启动计算机到安全模式。
二、用msconfig.exe检查开机启动项,发现名为Net可疑启动项(如下图所示),对应的文件为c:/windows/system/svch0st.exe(注意文件名中的h和s之间的是数字0)
把三个可疑的Net启动项取消
三。设置系统显示所有文件,不隐藏文件扩展名
方法是:
1. 启动 我的电脑或Windows 资源管理器。
2. 单击“查看”菜单 (Windows 95/98/NT) 或“工具”菜单 (Windows Me/2000/XP),然后单击“选项”或“文件夹选项”。
3. 单击“查看”选项卡。
4. 取消选中“隐藏已知文件类型的扩展名”。
5. 执行下列操作之一:
Windows 95/NT。单击“显示所有文件”。
Windows 98。在“高级设置”框的“隐藏文件”文件夹下,单击“显示所有文件”。
Windows Me/2000/XP:取消“隐藏受保护的操作系统文件”前的钩,并在“隐藏文件和文件夹”文件夹下,单击“显示所有文件和文件夹”。
6. 单击“应用”,然后单击“确定”。
四、用资源管理器打开c:/windows/system,用菜单:查看--》排列图标--》按日期
找到了可疑文件svch0st.exe和sfc2.dll,如下图所示:
(注意:svch0st.exe以文件夹为图标,有很大的迷惑性)
可疑文件svch0st.exe的属性
可疑文件sfc2.dll的属性
五、接下来在C:/找到两个文件web.exe和downSys.exe,这两个文件的图标(也是以文件夹作为图标)和文件属性(如文件大小,功能描述等)均与svch0st.exe相同。如下图所示:
可疑文件web.exe的文件属性
(downSys.exe的文件属性除文件名外,与web.exe相同,故不再上传)
估计其他文件夹可能还有,决定先用瑞星在线免费查毒功能检查。
六、正常启动windows,到
使用瑞星在线免费查毒功能,结果发现两个Trojan.DL.GPigeon.a和一个Exploit.HTML.Mht,如下图所示。前面发现的svch0st.exe、sfc2.dll、web.exe和downSys.exe均未报。
七、又用Mcafee在线免费查毒,结果比瑞星多报了一个,如下图所示。
前面发现的svch0st.exe、sfc2.dll、web.exe和downSys.exe仍未报。
八、清除病毒文件:
关闭所有浏览器窗口
用“瑞星杀毒助手”删除全部染毒文件。
由于病毒文件都在IE临时文件夹中,也可以通过清空IE临时文件夹来解决。
方法是:关闭所有浏览器窗口
开始--》设置--》控制面板--》internet选项——删除文件,
可以把“删除所有脱机内容”选上
九、安装AntiVir V6.31 Personal Edition 个人版,并升级到最新版本再查,没有发现病毒。
十、把可疑文件svch0st.exe、sfc2.dll、web.exe和downSys.exe拷到软盘,用最新版本的卡巴斯基扫描,也不报。
不过从文件图标及文件属性来看,可疑文件svch0st.exe、sfc2.dll、web.exe和downSys.exe很可能是未知病毒。
